E-mail vraagt om een Privacy Impact Assessment

4 min lezen - gepubliceerd op 24 januari 2019

De helft van de datalekken ontstaat doordat mensen persoonsgegevens naar de verkeerde ontvanger versturen, zo blijkt uit cijfers van de Autoriteit Persoonsgegevens. Uit dit type vergissingen bestond 47 procent van de datalekken in 2017. In de eerste helft van 2018 is het verkeerd doorsturen opgelopen tot 64 procent. E-mail is nog altijd een veel gebruikt communicatiekanaal, maar ook een communicatiekanaal waarbij deze vorm van datalekken gemakkelijk ontstaat.

Waarom een Privacy Impact Assessment?

Hoe groot is het risico op een datalek bij dit veelgebruikte medium? Een Privacy Impact Assessment (afgekort: PIA) geeft het antwoord op deze vraag. Volgens de wet op de privacy AVG / GDPR moet je laten zien dat je alles gedaan hebt om een datalek te voorkomen. Om dit aan te tonen verplicht deze wet je een Privacy Impact Assessment uit te voeren wanneer een verwerking grote risico’s voor de privacy van de betrokken personen oplevert. Verstuur je privacygevoelige gegevens via e-mail, dan is een PIA vereist.

Wanneer een Privacy Impact Assessment?

Wat is een PIA precies? Een PIA is een onderzoek naar de gevolgen die een werkwijze heeft voor de privacy. Met een PIA breng je in kaart welke gegevens de organisatie verzamelt, waarom ze die verzamelt, hoe de gegevens gebruikt en gedeeld worden en hoe de veiligheid gewaarborgd wordt. Zo’n onderzoek doe je niet één keer: om de risico’s goed in beeld te hebben en om misbruik van persoonsgegevens te voorkomen, is het nodig regelmatig een PIA uit te voeren. Het moment waarop je de overstap maakt naar een nieuwe e-mailoplossing is ook zeker een moment waarop je een PIA moet uitvoeren.

Gezondheid en financiën? Let op!

Wist je dat uit de cijfers van de Autoriteit Persoonsgegevens ook een duidelijk verschil blijkt tussen verschillende sectoren? Het probleem van datalekken doet zich met name voor in de zorgsector en de financiële dienstverlening. Deze sectoren nemen de helft van de datalekken voor hun rekening. De gegevens in deze sectoren, zoals medische informatie of financiële data, zijn ook vaker privacygevoelig dan bijvoorbeeld in de landbouw. Gegevens over iemands gezondheid vallen zelfs onder bijzondere persoonsgegevens.

Op deze 5 dingen moet je letten bij het uitvoeren van een PIA voor e-mail:

 

1. Breng de gegevens in kaart

Cruciaal bij een PIA is het in kaart brengen van welke gegevens via e-mail worden gedeeld. Belangrijk hierbij is het onderscheid tussen persoonsgegevens, bijzondere persoonsgegevens en privacygevoelige informatie. Persoonsgegevens zijn bijvoorbeeld namen en Burgerservicenummers. Onder de noemer bijzondere persoonsgegevens vallen bijvoorbeeld gegevens over ras, godsdienst of strafblad. Tot slot de privacygevoelige informatie, denk hierbij aan zaken als afspraakbevestigingen of financiële gegevens. Veel van de gegevens die men via e-mail deelt zullen ook al terug te vinden zijn in het register van verwerkingsactiviteiten (of: verwerkingsregister). Met deze stap breng je vooral de impact van de verwerking in kaart.

2. Breng de verschillende partijen in kaart

Met welke partijen wissel je gegevens uit via e-mail? Hierbij hebben we het aan de ene kant over uitwisseling met partijen buiten de organisatie, zoals externe consultants, leveranciers of freelancers. Aan de andere kant moeten ook de interne partijen in beeld zijn (denk aan medewerkers, afdelingen en dochterondernemingen). Hoe meer mensen er zijn betrokken bij de gedeelde gegevens, hoe groter het risico op een datalek. Mensen blijven de zwakste schakel bij beveiliging.

3. De risico’s van het verwerken

Bij het uitvoeren van een PIA wil je ook kijken waarom en hoe medewerkers de gegevens verwerken. Ga voor jezelf na of het mogelijk is dat zij de gegevens op een andere manier verwerken dan bedoeld is. Zeker bij het overdragen van bestanden zijn er legio manieren waarop van de aangeboden oplossingen of procedures afgeweken kan worden.

Zo is het gebruik van onveilige consumentendiensten voor het overdragen van gegevens nog altijd een veel voorkomend probleem in organisaties. Ter vervanging van e-mail gebruiken medewerkers bijvoorbeeld gratis chatdiensten. De kans is hierbij groot dat er sterk ingeleverd wordt op de veiligheid en de IT-afdeling of CISO heeft niet langer grip op de situatie.

Andere risico’s zijn het verliezen van een laptop. Heeft een derde dan ook toegang tot de mailbox? Of denk aan fishing of hacking van e-mail, hoe gaat de organisatie om met dit risico?

4. Inzicht in het beveiligingsbeleid

Nu je weet wat de risico’s en de impact zijn van mogelijke datalekken, is het belangrijk om stil te staan bij het opstellen van een helder beleid. Wat ga je doen om deze risico’s te minimaliseren of zelfs te voorkomen? Ga na of het duidelijk is met welke maatregelen de organisatie aan het beveiligingsbeleid voldoet. Een goed beveiligingsbeleid kan veel bijdragen aan het beperken van de risico’s op een datalek, maar het zal menselijke fouten nooit volledig uitsluiten.

Bestaat er een weg terug wanneer een medewerker bij het gebruik van e-mail een datalek veroorzaakt? Het gebruik van tools waarmee je op afstand de toegang tot een e-mail kan intrekken beperkt de impact van een datalek sterk. Zorg dat medewerkers weten hoe zij dit doen. Neem deze informatie op in het bedrijfsreglement of personeelshandboek en bespreek hem met elke nieuwe medewerker.

5. Het melden van een datalek

Menselijke fouten zijn niet te voorkomen. Ontstaat een datalek, dan ben je verplicht dit te melden aan de Autoriteit Persoonsgegevens (AP) en de personen waarvan de gegevens zijn gelekt. Bedenk hoe je als organisatie zorgt dat je voldoet aan deze meldplicht bij een lastig te beheersen communicatiekanaal als e-mail. Hoe weet je als beheerder wie welke informatie naar welke ontvanger heeft gestuurd op welk tijdstip? Naar wie is deze informatie nog meer doorgestuurd? Deze informatie moet je hebben voordat je melding kan doen bij de AP. Je moet op de hoogte zijn van datalekken en snel de impact hiervan kunnen inschatten. Neem deze zaken mee in een PIA en beschrijf hoe jij er zeker van bent dat je een datalek snel meldt, inschat op impact en zo klein mogelijk houdt.

Omgaan met het grootste risico: de menselijke fout

Als je geen aandacht hebt voor de menselijke factor bij het gebruik van e-mail, blijf je dweilen met de kraan open. En juist omdat mensen zo’n grote rol spelen in het ontstaan van een lek, is het essentieel dat zij zich bewust zijn van de aanwezigheid van gevoelige data en de risico’s die daarbij horen. Maar hoe zorg je ervoor dat dit onderwerp gaat leven bij jouw collega’s? Hoe creëer je duurzame aandacht voor privacy in jouw organisatie?

Lees het in ons e-book 'Creëer bewustwording van privacy en de AVG'.

Download het e-book

Picture of Eva Malten

Eva Malten

Eva studeerde Nederlandse taal en cultuur in haar favoriete stad: Utrecht. Daarna ontwikkelde ze zich tot communicatiemedewerker en werkte bij diverse uitgeverijen en de Bibliotheek Utrecht. Ze houdt van lezen en schrijven en is gespecialiseerd in compacte teksten met een heldere boodschap. Ze voelt zich thuis in het energieke en enthousiaste team van ZIVVER. In haar vrije tijd gaat Eva met haar gezin op stap in Utrecht of staat ze in de keuken om een taart te bakken.